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(57) Abstract: The invention concerns a method implemented in a communication network comprising a source device (1) includ- 
ing: a first symmetrical key (Kc) for encrypting data (CW) to be transmitted to a display device (2) connected to the network; and 
the first symmetrical key (Kc) encrypted (E2{K N }(Kc)) with a second symmetrical network key (K N ) known only to at least one 
display device (2) connected to the network. When the source device needs to renew its first symmetrical key (Kc) to encrypt new 
data, it generates a random number (D), then it calculates a new symmetrical key (K' c ) based on the first symmetrical key (Kc) and 
on the random number (D). It then encrypts the data to be transmitted (CW) with the new symmetrical key (K' c ) and transmits to a 
display device, via the network: the data encrypted with the new symmetrical key (E3{K' C }(CW)), the random number (D), and the 
first encrypted symmetrical key with the second symmetrical network key (ESJK'cKCW)). 

[Suite sur la page suivante J 
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(57) Abrege : Le precede" de 1" invention est mis en uvre dans un r6seau de communication comprenant un dispositif source (l)qui 
contient :- une premiere cle symetrique (KC) pour chiffiner des donnees (CW) 6 transmettre 6 un dispositif de presentation (2) raccorde 
au nSseau ; et - la premiere cle" symetrique (KC) chiffree (E2{KN}(KC)) avec une seconde cle symetrique de reseau (KN) connue 
seulement d'au moins un dispositif de presentation (2) raccorde au r£seau. Lorsque le dispositif source doit renouveler sa premiere 
cl6 symetrique (KC) pour chifrrer de nouvelles donnees, il g6nere un nombre aieatoire (D), puis il calcule une nouvelle cle symetrique 
(K'C) en fonction de la premiere cle symetrique (KC) et du nombre aieatoire (D). II chiffre ensuite les donnees 6 transmettre (CW) 
avec lanouvelle c\6 symetrique (K'C) puis il transmet 6 un dispositif de presentation, via le reseau : - les donnees chiffrees avec la 
nouvelle cle* symetrique (E3{K'C}(CW)) ; - le nombre aleatoire (D) ; et - la premiere cie symetrique chiffree avec la seconde cle 
symetrique de reseau (E2{KN}(KC)). 



WO 2004/043036 PCT/FR2003/003250 

1 

Procede simplifie de renouvellement de cles svmetriques dans un reseau 

numerique 

Domaine de I'invention 

5 La presente invention se rapporte d'une maniere generale au 

domaine de la gestion de cles cryptographiques dans des reseaux numeriques 
locaux et plus particulierement dans des reseaux numeriques domestiques. 

Etat de la technique 

10 Un tel reseau est constitue d'un ensemble de dispositifs relies entre 

eux par un bus numerique, par exemple un bus selon la norme IEEE 1394. II 
comprend notamment deux types de dispositifs : 

- Des dispositifs sources capables d'emettre des donnees sur le 
reseau : Ces dispositifs peuvent recuperer les donnees a travers un « canal » 

is externe au reseau. 

- Des dispositifs de presentation, adaptes a recevoir les donnees 
circulant sur le r6seau, pour les traiter ou les presenter a I'utilisateur. 

Ainsi, si on prend I'exemple d'un reseau numerique domestique 
destine a vehiculer des donnees audio et/ou video dans differentes pieces 

20 d'une maison, les dispositifs sources sont par exemple des decodeurs 
numeriques recevant des programmes video de Pexterieur du reseau, via une 
antenne satellite ou via une connexion au cable, ou bien des lecteurs de 
disques optiques diffusant sur le reseau, sous forme numerique, des donn§es 
(audio et/ou video) lues sur un disque (le disque contient dans ce cas des 

25 donn§es provenant de I'exterieur du reseau). Les dispositifs de presentation 
sont par exemple des recepteurs de television permettant de visualiser des 
programmes video regus du reseau ou, d'une maniere plus generate tout type 
d'appareil ayant la capacite de dechiffrer des donnees chiffrees. 

Si on se place du point de vue des fournisseurs de contenu qui 

30 foumissent les donnees en provenance de I'exterieur du reseau local, 
notamment des prestataires de services diffusant des programmes televises 
payants ou bien des editeurs de disques optiques par exemple, il est 
n6cessaire d'eviter que ces donnees transmises ne soient copiees et puissent 
circuler facilement (par exemple en etant copiees sur un disque optique ou tout 

35 autre support d'enregistrement) d'un reseau local a I'autre. 



COPIE DE CONFIRMATION 
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Pour ceia, il est connu de transmettre les donn6es sous forme 
secrete en les chiffrant a Paide d'algorithmes de cryptographie utilisant des cles 
qui sont cx>nnues au prealable des appareils autorises a recevoir ces donnees 
ou bien qui sont echangees selon des protocoles particuliers s6curises entre le 

5 fournisseur de contenu et ces appareils. 

La demande de brevet PCT WO 00/62505 au nom de THOMSON 
multimedia, depos6e le 31 mars 2000 et revendiquant la priority d'une demande 
de brevet frangaise au nom du meme demandeur, deposee le 13 avril 1999 et 
publiee sous la reference FR 2792482, conceme un reseau domestique dans 

10 lequel une cle publique propre au reseau est utilisee pour chiffrer les donnees 
circulant entre des appareils du reseau, typiquement des dispositifs sources 
precedemment mentionn§s vers des dispositifs de presentation. Seuls les 
appareils de presentation de ce reseau possedent la cle privee correspondant a 
— la cle publique.-Le-couple (ele-publique r cle-privee)-etantspeGifique au reseau, 

15 des donnees chiffrees dans le cadre de ce reseau ne peuvent etre dechiffrees 
par des appareils d'un autre reseau. 

Utilisation d'un couple de cles asymetriques pr6sente certains 
avantages, mais aussi quelques inconv6nients. Un des principaux avantages 
est qu'aucun secret n'est memorise dans les appareils sources: ces appareils 

20 ont connaissance de la cl6 publique, mais non de la cle priv6e. Cependant, la 
mise en oeuvre de cles asymetriques est d'une relative lenteur, par rapport a 
celle de cl6s symetriques. De plus, la dun§e de vie de cl6s asymetriques est 
faible, exigeant une revocation periodique et la creation de nouvelles cles. Dans 
ce cas, des donnees chiffrees avec une cle, puis enregistrees, pourraient 

25 soudainement ne plus etre dechiffrables sur le reseau. De plus, un nombre 
important de paires de cl§s asymetriques est n6cessaire. 

On serait alors tente par la mise en oeuvre d'une cl§ symetrique pour 
chiffrer les donnees. Or, cela exigerait que les dispositifs source aient 
connaissance de cette cle, ce qui leur imposerait des contraintes de security 

30 accrues et les rendrait par consequent plus onereux. 

La presente invention vise a resoudre les problemes precites. 



Expose de I'invention 

L'invention a pour objet un proced6 de renouvellement de cl6 
35 symetrique dans un reseau de communication comprenant un dispositif d'un 
premier type contenant : 
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- une premiere cle symetrique pour chiffrer des donn6es a 
transmettre a un dispositif d'un second type raccorde au r£seau ; et 

- ladite premiere cle symetrique chiffree avec une seconde cle 
symetrique de reseau connue seulement d'au moins un dispositif d'un second 

5 type raccorde audit reseau. 

Selon le proc§d§, le dispositif d'un premier type genere un nombre 
aleatoire, puis il calcule une nouvelle cle symetrique en fonction de la premiere 
cl6 symetrique et du nombre aleatoire. II chiffre ensuite les donn6es a 
transmettre avec la nouvelle cle symetrique puis il transmet a un dispositif d'un 

10 second type, via le reseau : 

- les donnees chiffr6es avec la nouvelle cie symetrique; 

- le nombre aleatoire; et 

- la premiere cle symetrique chiffree avec la seconde cle symetrique de 

- r6seau. - 

15 Le procede peut en outre comporter les etapes qui consistent, pour 

le dispositif d'un second type qui regoit les donn6es transmises par le dispositif 
d'un premier type, a dech'rffrer, avec la seconde cie symetrique de reseau, le 
chiffrement de la premiere cle symetrique ; puis a determiner, en fonction de la 
premiere cle symetrique ainsi obtenue et du nombre aleatoire regu, la nouvelle 
20 c!6 symetrique ; et a d6chiffrer les donnees regues avec la nouvelle cl6 
symetrique ainsi obtenue. 

Breve description des dessins 

D'autres caracteristiques et les avantages de I'invention apparattront 
25 a travers la description d'exemples de realisation particuliers non limitatifs, 
explicite ^ Taide des figures jointes, parmi lesquelles : 

- la figure 1 est un schema bloc d'un reseau de communication 
reliant plusieurs appareils dans lequel est mise en oeuvre I'invention; 

- les figures 2 et 3 sont des diagrammes temporels illustrant les 
30 communications entre un dispositif source de donnees chiffrees et un dispositif 

de presentation desdites donnees dans un tel reseau selon un mode de 
realisation de I'invention. 

Description detaillee de modes de realisation de I'invention 

35 On decrira dans un premier temps un exemple de reseau de 

communication pour illustrer la fagon dont les donnees et les cles diverses sont 
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echangees. Par la suite, on decrira de maniere plus detaillee la gestion 
proprement dite des des et leur utilisation pour une transmission de donnees 
securisee entre un dispositif source et un dispositif de presentation. 

s I] Description du reseau 

Sur la figure 1 , on a represents un reseau numerique domestique 
comprenant un dispositif source 1, un dispositif de presentation 2 et un 
dispositif d'enregistrement 3 relies ensembles par un bus numerique 4, qui est 

10 par exemple un bus selon la norme IEEE 1394. 

Le dispositif source 1 comprend un decodeur numerique 10 dote 
d'un lecteur de carte a puce muni d'une carte a puce 11. Ce decodeur recoit 
des donnees numeriques, notamment des programmes audio/video distribues 
par un prestataire de sen/ice. 

15 Le dispositif de presentation 2 comprend un recepteur de television 

numerique (DTV) 20 dote d'un lecteur de carte a puce muni d'une carte a puce 
21 et le dispositif d'enregistrement 3 est notamment un magnetoscope 
numerique (DVCR). 

Les donnees numeriques qui entrent sur le reseau via le dispositif 

20 source 1 sont en general des donnees embrouillees par un foumisseur de 
contenu, par exemple selon le principe de la television payante. Dans ce cas, 
les donnees sont embrouillees a I'aide de mots de contr6Ie CW (de I'anglais 
« Control Word ») qui sont eux-memes transmis dans le flux de donnees sous 
forme chiffree a I'aide d'une cle de chiffrement K F en etant contenus dans des 

25 messages de controle ECM (de I'anglais « Entitlement Control Message »). La 
cle de chiffrement Kf est mise a la disposition des utilisateurs qui ont paye pour 
recevoir les donnees, notamment en etant stockee dans une carte a puce. 
Dans I'exemple de la figure 1, la carte a puce 11 contient une telle cle K F ainsi 
qu'un module d'acces conditionnel CA 14 capable de dechiffrer les mots de 

30 contrdle CW. 

On notera cependant que bien souvent, I'autorisation de recevoir les 
donnees n'est que temporaire, tant que I'utilisateur paie un abonnement au 
foumisseur de contenu. La cle K F est done modifiee regulierement par le 
foumisseur de contenu. Grace au precede qui sera decrit ci-dessous, 

35 I'utilisateur pourra neanmoins enregistrer des programmes transmis pendant 
qu'il est abonne et les relire autant de fois qu'il le souhaite sur son propre 
reseau, meme lorsque la cle K F aura ete changee. Par contre, comme les 
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donnees sont enregistrees sous forme embrouill6e de la maniere decrite, elles 
ne pourront etre relues que sur le reseau de I'utilisateur qui les a enregistrees. 

Le dispositif source 1 qui regoit ces donnees numeriques 
embrouillees les met ensuite en forme pour qu'elles soient diffusees sur le 
5 reseau num§rique selon un format de protection specifique au reseau 
domestique. Le decodeur 10 comporte un module « unite ECM » 13 qui extrait 
du flux de donnees regu les messages ECM contenant les mots de controle 
chiffres & I'aide de la cle K F pour les transmettre au module CA 14. Celui-ci 
dechiffre les mots de controle CW et les transmet a un module convertisseur 12 
10 egalement contenu dans la carte a puce 1 1 . 

Le module convertisseur 12 contient une cle symetrique Kc dont la 
generation et la transmission entre les appareils du reseau seront decrites 
ulterieurement. 

On notera que sur la figure 1, le reseau est represents dans Petat 
is dans lequel il se trouve lorsque tous les appareils ont 6te raccordes et ont 
6chang6 des cles cryptographiques selon des precedes qui seront decrits 
ulterieurement. La figure 1 illustre en particulier, pour le dispositif source 1 et le 
dispositif de presentation 2, toutes les cles contenues dans chaque dispositif. 
Les cles representees ne sont pas forcement presentes a tout moment dans les 
20 dispositifs. 

En particulier, le dispositif de presentation 2 comporte dans une 
memoire une cl6 symetrique de reseau K N . Cette cle est distribute a tout 
nouveau dispositif de presentation nouvellement connecte au reseau selon un 
procede s6curis6 qui ne fait pas I'objet de la presente invention et ne sera pas 
25 decrit davantage. De plus, chaque dispositif de presentation possede une paire 
de cles asymetriques (K PU bt, K PR | T ), la premiere cle etant publique et la seconde 
privee. Ces cl6s sont utilisees dans le cadre de Tauthentification des appareils 
du reseau, ainsi que pour Techange initial des cles sym6triques comme on le 
verra ulterieurement. 

30 Le module convertisseur 12 utilise la cle symetrique K c pour chiffrer 

les mots de controle CW et il insere ces mots de controle chiffres dans des 
messages notes LECM (de Tanglais « Local Entitlement Control Message »). 
Ces messages LECM ont la meme fonction que les messages ECM inclus dans 
le flux de donn6es regus initiaiement, a savoir transmettre les mots de controle 

35 sous une forme prot£g6e, mais dans les messages LECM, les mots de controle 
CW y sont chiffres a I'aide de la cle symetrique K c au lieu d'etre chiffres a Taide 
de la cle K F du foumisseur de contenu. 
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De preference, la cle Kc est frequemment renouvelee, par exemple 
lors de I'initiation de chaque transmission de donnees, dans le but d'6viter que 
le dispositif source ne comporte un secret a long terme, qui exigerait une 
protection renforcee. 

5 Le module convertisseur 12 insere en outre dans les messages 

LECM la cle symetrique K c elle meme, mais chiffree a Paide d'une autre cl§ 
symetrique Kn par un algorithme E2, c'est a dire E2{K N }(K C ). 

Dans le reste de la description, on utilisera toujours la notation 
« E{K}(M) » pour signifier chiffrement de donnees M par un algorithme E avec 

10 une cle K. 

La cle Kn, que nous appellerons dans la suite cle de reseau, ne 
reside pas dans Pappareil source 1, mais dans Pappareil de presentation 2. 
Suite a la creation de la cle Kc, cette derniere est transmise de maniere 
s6curisee a Pappareil de presentation 2, qui la chiffre a Paide de K N et - 
15 retransmet le resultat a Pappareil source qui le memorise dans le module 
convertisseur 12 de sa carte, pour utilisation ulterieure. 

Les messages LECM ainsi construits sont ensuite transmis a Punite 
ECM 13 qui les insere dans le flux de donnees a la place des messages ECM. 
II est a noter que lorsque le contenu regu n'est pas deja sous forme embrouillee 
20 comme decrit ci-dessus et ne contient pas de message ECM, le module 
convertisseur 12 est charge dans ce cas de mettre les donnees sous cette 
forme pour que le flux de donn6es diffuse sur le bus 4 soit toujours sous la 
forme de paquets de donnees tels le paquet 40 represents a la figure 1 
contenant un message LECM et des donnees embrouill6es. 
25 On peut resumer le contenu de ce paquet comme suit : 

LECM | E4{CW}(<donnees>) ; soit : 
E2{K N }(K C ) I E3{K C }(CW) | E4{CW}(<donnees>) ; 
ou « | » represente Toperateur de concatenation. 
Les donnees circulent done toujours sous forme chiffree dans le bus 
30 4, et seuls les appareils ayant acces a la cle symetrique Kc sont capables de 
dechiffrer les mots de controles CW et done de dechiffrer les donnees. Ces 
appareils sont ceux possedant la cle de reseau K N . Ceci empeche done la 
diffusion vers d f autres r6seaux locaux de toute copie effectuee dans le reseau 
domestique de la figure 1 . 
35 Lorsque les paquets de donnees 40 sont regus par le r6cepteur de 

television numerique 20, ils sont transmis au module « Unite LECM » 23 qui en 
extrait les messages LECM pour les transmettre & un module terminal 22 
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contenu dans la carte a puce 21 . Ce dernier dechiffre tout d'abord E2{K N }(K C ) a 
I'aide de la cle Kn qu'il contient pour obtenir la cle Kc. Ensuite, a I'aide de la cle 
K c , il dechiffre E3{K C }(CW) pour obtenir le mot de controle CW qu'il transmet au 
module « Unite LECM » 23. Celui-ci est alors en mesure de desembrouiller les 

5 donnees E4{CW}(<donn6es>) £ I'aide du mot de controle. Les donnees 
desembrouillees sont ensuite presentees & I'utilisateur. Dans le cas de donnees 
video, celles-ci peuvent etre visualisees sur le recepteur de television 20. 

Grace au r6seau numerique local qui vient d'etre decrit, le flux de 
donnees numeriques regu d'un fournisseur de contenu est transforme par le 

10 dispositif source qui le regoit en un flux de donnees dans lequel les donnees 
(ou plus precisement les mots de controle CW) sont chiffr6es avec a une cle 
symetrique Kc. La cle Kc est transmise avec les donnees chiffrees avec son 
aide, en etant elle-meme chiffree a I'aide d'une autre cle symetrique, la cle de 
reseau Kn- Le flux de donnees qui circule dans le r£seau local contient ainsi 

15 des donnees ayant un format specifique a ce reseau local qui ne peuvent etre 
dechiffrees que par les dispositifs de presentation du reseau local qui 
contiennent tous la cle du reseau Kn. 

De plus, comme la cl£ Kc est diffusee avec les donnees (sous forme 
chiffr6e), elle peut etre enregistr£e, par exemple par le magn6toscope 

20 numerique (DVCR) 4, en meme temps que les donnees ce qui permettra un 
acces ulterieur aux donnees chiffr6es. 

Par ailleurs, comme la cie de reseau Kn n'est pas stock6e dans les 
dispositifs sources, ceux-ci ne contiennent done pas de secret « long terme », 
exigeant des precautions de securite accrues. 

25 La cie Kc doit cependant §tre renouveiee frequemment et nous 

allons maintenant decrire plus precisement comment cette cle K c est generee 
et comment son chiffrement a I'aide de la cie de reseau Kn est obtenu selon 
differentes variantes. 

30 II] Generation et gestion de la cie symetrique Kc lors d'une premiere 

connexion au r6seau d'un dispositif source 

Supposons que le dispositif source 1 vient juste d'etre connecte au 
reseau domestique illustre & la figure 1 . II ne possede au depart aucune cie 
35 dans son module convertisseur 12. 
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Le figure 2 illustre les etapes d'un protocole initial permettant au 
dispositif source d'obtenir une cle symetrique K c chiffr6e £ I'aide de la cle de 
reseau K N detenue parun dispositif de presentation du reseau. 

Lors d'une premiere etape 101, le dispositif source 1 lance une 

5 requete sur le reseau, demandant a tout dispositif de presentation de lui 
transmettre sa cle publique. Sur la figure 1, nous avons represents un seul 
dispositif de presentation mais naturellement, le reseau numerique domestique 
peut comporter plusieurs dispositifs de presentation differents raccord6s au bus 
4. Tous les dispositifs de presentation presents et en etat « d'6veil » sur le 

10 reseau (c'est a dire ceux dont I'alimentation n'est pas coupee ou bien qui ne 
sont pas dans un mode de mise en veille avec une alimentation tres r6duite des 
circuits du dispositif) sont supposes repondre a la requete du dispositif source 
en renvoyant leur cle publique 

Nous supposerons dans la suite que la premiere cle- regue par-le — 

15 dispositif source 1 est la cle publique Kpubt envoyee au cours de I'etape 102 
par le dispositif de presentation 2. Le dispositif source 1 prend en compte le 
premier message regu et echangera ensuite des messages avec le dispositif de 
presentation correspondant. 

Le dispositif source 1 , et plus pr6cisement le module convertisseur 

20 12, genere ensuite de maniere aleatoire une cl§ symetrique « court terme » Kc 
et il memorise cette cle Kc (etape 103). II utilise par exemple pour la generation 
de Kc un g6n§rateur de nombre pseudo-aleatoire. 

La cle K c est ensuite chiffree a l'6tape 104 avec la cle publique K PU bt 
par Tintermediaire d'un algorithme de chiffrement asymetrique E1, par exemple 

25 ralgorithme « RSA OAEP » (pour « Rivest, Shamir, Adleman Optimal 
Asymmetric Encryption Padding » - decrit dans « PKCS#1: RSA Cryptography 
Specifications, version 2.0 (October 1998) »), puis transmise sous forme 
chiffree E1{K PU bt}(Kc) au dispositif de presentation 2 (etape 105). Ce dernier 
dechiffre la cle Kc a Taide de sa cle privee KPRIT puis il la chHfre de nouveau 

30 selon un algorithme de chiffrement symetrique E2 £ I'aide de la cl6 symetrique 
de reseau Kn (6tape 106) et renvoie K c ainsi chiffr6e (i.e. E2{K N }(K C )) au 
dispositif source (etape 107), qui memorise cette information (6tape 108), de 
preference dans son module convertisseur 12. 

A Tissu de cette premiere serie d'6tapes 101 a 108, le dispositif 

35 source 1 possede done dans son module convertisseur 12, une cle symetrique 
K c qui va pouvoir etre utilisee pour chiffrer des donnees, typiquement des mots 
de controles CW, et le chiffrement de cette cl6 Kc a Taide de la cle de r6seau 
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Kn. II est done pret a diffuser des donnees sur le reseau. On notera que le 
dispositlf source ne connaTt pas la cle secrete de reseau K N . 

Les etapes ulterieures 109 a 113 illustrees a la figure 2 concernent la 
5 transmission de donnees « utiles », e'est a dire typiquement des donnees audio 
video embrouillees. 

Les donnees regues par le dispositif source 1 comportent des 
messages ECM. Le dispositif source dechiffre ces derniers pour en extraire les 
mots de controle CW puis il chiffre les mots de controle CW a I'aide de la cle 

10 symetrique K c par I'intermediaire d'un algorithme de chiffrement symetrique E3 
(etape 109). Le dispositif source 1 reinsere ensuite ces mots de controle 
chiffres (i.e. E3{K C }(CW)) dans le flux de donnees et transmet I'ensemble sur le 
bus 4 a destination du ou des dispositifs de presentation presents sur le reseau 
(etape 1 10). Le dispositif source envoie egalement lors de I'etape 110 la cle Kg 

15 chiffree a I'aide de K N qu'il avait precedemment memorisee a I'etape 108. En 
pratique, les donnees E2{K N }(K C ) et E3{K C }(CW) sont inserees dans le 
message LECM qui est transmis avec les donnees « utiles » embrouillees 
E4{CW}(<Donnees>). 

On notera egalement que les donnees utiles transmises a I'etape 

20 110 sont chiffrees selon un algorithme de chiffrement symetrique E4 a I'aide 
des mots de controle CW. 

Le dispositif de presentation 2 qui recoit les donnees transmises a 
I'etape 110 dechiffre tout d'abord E2{K N }(K C ) a I'aide de K N pour obtenir la cle 
Kc qui est memorisee (etape 111) et, a I'aide de K c , il peut dechiffrer 

25 E3{K C }(CW) pour acceder aux mots de controle CW (etape 112) et ainsi 
desembrouiller les donnees utiles (etape 113). 

Les algorithmes de chiffrement sym6triques E2, E3 et E4 peuvent 
§tre identiques ou differents. On pourra utiliser par exemple I'algorithme 
« AES » (pour « Advanced Encryption Standard » - aussi appele « Rijndael » - 

30 et decrit par J. Daemen et V. Rijmen dans « Proceedings from the First 
Advanced Encryption Standard Candidate Conference, National Institute of 
Standards and Technology (NIST), aout 1998 »), ou encore I'algorithme 
« TwoFish » (decrit dans I'article « TwoFish - a Block Encryption Algorithm » de 
B. Schneier, J. Kelsey, D. Whiting, D. Wagner, N. Ferguson et publie dans le 

35 meme rapport de conference NIST). 

Ill] Renouvellement de la cle symetrique Kc 
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Lorsqu'il est necessaire de renouveler la cle Kc, notamment avant de 
d'rffuser un nouveau contenu numerique sur le reseau, on pourrait envisager 
d'utiliser le meme protocole que celui decrit a la figure 2 (etapes 101 a 108). 
5 Neanmoins, ce protocole implique des calculs de chiffrement utilisant des 
algorithmes asymetriques qui exigent une puissance de calcul assez importante 
et qui sont relativement long a mettre en oeuvre dans des processeurs de carte 
a puce. C'est pourquoi, pour le renouvellement de la symetrique « court terme » 
Kc, un second protocole est utilise. 

10 

Ce second protocole permettant le renouvellement de la cl§ 
symetrique K c est illustre par la figure 5. 

Selon ce protocole, lors d'une premiere 6tape 400, le -dispositif 

15 source 1 (ou plus precisement son module convertisseur 12) genere un nombre 
al6atoire D et il le memorise. II calcule ensuite (etape 401) la nouvelle cl6 
symetrique Kc en appliquant une fonction f a la cle Kc m6morisee lors du 
premier protocole (a l'6tape 103) et au nombre D. La fonction f est notamment 
une fonction de derivation classique telle qu'une fonction de hachage (on peut 

20 par exemple utiliser la fonction SHA-1 decrite dans le document « Secure Hash 
Standard, FIPS PUB 180-1, National Institute of Standard Technology, 1995 ») 
ou bien encore une fonction de cryptage telle que la fonction XOR. C'est une 
fonction dite « a sens unique » (« one way function » en anglais), c'est a dire 
que, connaissant le resultat f(K c , D) et le nombre D, il est impossible de 

25 retrouver la cle Kc. 

L'6tape 402 correspond a I'etape 109 du protocole de la figure 2 et 
consiste a extraire les messages ECM inclus dans les donnees regues par le 
dispositif source pour les dechiffrer dans le module CA 14 et en extraire les 
mots de controle CW qui sont ensuite chiffres dans le module convertisseur en 

30 utilisant la nouvelle cle symetrique Kc- Par contre la diffusion des donn6es 
« utiles » sur le reseau par le dispositif source est un peu differente de celle 
effectuee & Petape 110. 

En effet, a T6tape 403, le dispositif source insere dans le message 
LECM la donn6e D g6neree a l'§tape 400. II insere en outre dans ce message 

35 LECM : 

- la cle symetrique Kc initiate chiffree avec la cle du r6seau Kn 
(E2{K N }(K C )) et 
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- un ou des mots de controle CW chiffre(s) avec la nouvelle cle 
symetrique K' c (E3{Kc}(CW)). 

Lorsque le dispositif de presentation 2 regoit les donnees diffusees a 
I'etape 403, il d§chiffre tout d'abord E2{K N }(Kc) avec la cle du r§seau K N (6tape 
404), puis il calcule la nouvelle cle symetrique K' c a partir de Kc et de D en 
appliquant la fonction f (etape 405). Ayant obtenu K' C) il peut ensuite dechiffrer 
E3{Kc}(CW) pour obtenir le mot de controle CW (etape 406) et desembrouiller 
les donnees « utiles » a I'aide de ce mot de controle (etape 407). 

Grace a ce protocole, il n'est pas necessaire d'effectuer un echange 
de donnees entre un dispositif source et un dispositif recepteur pour obtenir le 
renouvellement d'une cle symetrique K'c. Ceci est particulierement avantageux 
par exemple lorsque aucun dispositif de presentation n'est en etat « d'eveil » 
dans le reseau et qu'un utilisateur souhaite enregistrer un programme (contenu 
- numerique) regu -par le- dispositif source.^ Le dispositif-~source~pounra ainsi 
renouveler sa cle de chiffrement symetrique Kc sans avoir besoin d'un 
quelconque dispositif de presentation et pourra done diffuser des donnees utiles 
accompagnees de messages LECM proteges par cette cle renouvelee pour que 
les donnees soient enregistrees dans une unite de stockage numerique telle 
que le magnetoscope 3 de la figure 1 . 
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REVENDICATIONS 

1 . Proc6de de renouvellement de cle symetrique dans un reseau de 
communication comprenant un disposit'rf d'un premier type (1) contenant : 

- une premiere cle symetrique (Kc) pour chiffrer des donn6es 
(CW) a transmettre a un dispositif d'un second type raccorde au reseau ; et 

- ladite premiere cle symetrique (K c ) chiffree (E2{K N }(Kc)) 
avec une seconde cle symetrique de r§seau (K N ) connue seulement d'au moins 
un dispositif d'un second type (2) raccorde audit reseau ; 

le procede comportant les etapes qui consistent, pour le dispositif 
d'un premier type, a : 

(a) generer un nombre aleatoire (D) ; 

(b) calculer une nouvelle cle symetrique (Kc) fonction de la premiere 
cle symetrique (Kc) et dudit nombre aleatoire (D) ; 

(c) chiffrer les donnees a transmettre (CW) avec la nouvelle cle 
symetrique (K'c) ; et 

(d) transmettre a un dispositif d'un second type (2), via ledit reseau : 

- les donnees chiffrees avec la nouvelle cle symetrique (E3{K' C }(CW)) ; 

- le nombre aleatoire (D) ; et 

- ladite premiere cle symetrique chiffree avec la seconde cle 
symetrique de reseau (E2{K N }(K C )). 

2. Proc6de selon la revendication 1, dans lequel la fonction (f) 
utilis6e pour le calcul de la nouvelle cl6 symetrique (K'c) est une fonction de 
derivation a sens unique. 

3. Procede selon la revendication 2, dans lequel la fonction (f) est 
une fonction de hachage ou de cryptage. 

4. Procede selon Tune des revendications precedentes, comportant 
en outre les etapes consistant, pour le dispositif d'un second type (2) qui regoit 
les donn§es transmises £ P6tape (d), a : 

(e) dechiffrer, avec la seconde cle symetrique de reseau (Kn), le 
chiffrement (E2{K N }(K C )) de la premiere cle symetrique (K c ) ; 

(f) determiner, en fonction de la premiere cle symetrique (K c ) 
obtenue a I'etape (e) et dudit nombre aleatoire (D), la nouvelle cl§ symetrique 
(K'c) ; et 
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(g) dechiffrer les donnees regues avec la nouvelle cle symetrique 
(K c) ainsi obtenue. 
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